网络安全之供应链安全:第三方软件供应商

了解通过第三方软件供应商发起的供应链攻击示例,其中合法的工业控制系统可能被“木马化”。自2011年以来,被称为 Dragonfly(也称为 Energetic Bear、Havex 和 Crouching Yeti)的网络间谍组织一直在瞄准欧洲和北美的公司,主要目标是能源行业。该团体有通过供应链针对相应公司攻击的历史。

在他们的最新活动中,Dragonfly 成功地“木马化”了合法的工业控制系统 (ICS) 软件。为此,他们首先入侵了 ICS 软件供应商的网站,并用自己感染了恶意软件的版本替换了其存储库中的合法文件。随后,当从用户从供应商的网站下载 ICS 软件时,会在安装合法的 ICS 软件时安装恶意软件,包括额外的远程访问功能,可用于控制安装它的系统。如果被入侵的软件在源头已经被更改,则很难被检测到,因为目标用户公司没有理由怀疑其不合法性。这中供应链安全极大地依赖于供应商,因为用户深入检查每一个硬件或软件以发现此类攻击所需的深度是不可行的。供应链安全中第三方软件供应商安全的案例,今年最为典型的是攻击者设法黑了基于德克萨斯州的IT管理和监视解决方案提供商SolarWinds的系统之后,已导致全球许多组织的网络遭到破坏。攻击者破坏了该公司Orion监视产品的构建系统。攻击者可能向数千家组织提供了带有恶意软件的更新包,其中包括网络安全公司FireEye(世界最大网络安全公司之一的FireEye被黑,红队渗透工具被盗)和以及美国政府的各种组织。美国当局就此次供应链攻击事件,对俄罗斯进行了指控,声称是俄罗斯赞助的国家级黑客团体主导了这场供应链攻击。而俄罗斯方面对这一指控予以否认。

供应链攻击中最为成功惊世骇俗的非美国、以色列对伊朗核设施发动的“震网”病毒莫属了。作为世界上首个网络“超级破坏性武器”,Stuxnet的计算机病毒已经感染了全球超过 45000个网络,伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒。计算机安防专家认为,该病毒是有史以来最高端的“蠕虫”病毒。蠕虫是一种典型的计算机病毒,它能自我复制,并将副本通过网络传输,任何一台个人电脑只要和染毒电脑相连,就会被感染。供应链安全在西方信息安全领域,算是一个常提常新的话题了。美国这种具备超强供应链攻击能力的国家,自然明白供应链攻击的危害,所以也不断利用自己在媒体中的话语权炒作俄罗斯黑客、中国黑客,对中俄进行污名化,最近又曝出,美国商务部出台新出口管制,要求禁止向中俄等国出口攻击、监控等类别的网络安全工具。美国商务部在一份声明中表示,在经过大量讨论之后,他们认为禁止出售黑客工具已经可以取得平衡,能在继续保持美国研究人员及网络安全公司同海外合作伙伴与客户合作解决软件漏洞和恶意攻击的同时,有效遏制对手掌握相关黑客技术。从中,我们也看到美国在这方面囤积居奇,奇货可居应该是海量的。供应链的安全可控是非常重要的,绝非是空谈。目前,世界各国都已经普遍认识到供应链安全重要性,我们需要保持高度的安全意识,加强供应链安全管理,供应商也需要增强自身安全管控,不断提升自身安全,提升自身在网络安全行业的安全可信度,提升自身商誉。网络安全的 10 个步骤之供应链安全网络安全之供应链安全(一)网络安全之供应链安全(二)网络安全之供应链安全(三)网络安全风险管理介绍风险管理之风险信息多样化风险管理指导之风险基础网络安全的 10 个步骤之安全培训网络安全的 10 个步骤之日志记录和监控分析网络安全的 10 个步骤之架构和配置网络安全的 10 个步骤之供应链安全网络安全的 10 个步骤之数据安全网络安全的10个步骤之事件管理网络安全的 10 个步骤之身份鉴别和访问控制网络安全的 10 个步骤之风险管理网络安全的 10 个步骤之资产管理网络安全的 10 个步骤之漏洞管理

(0)

相关推荐

  • 在internet应用中常见的安全威胁有几种,该采用何种措施应对?

    计算机网络安全所面临的威胁主要可分为两大类:一是对网络中信息的威胁,二是对网络中设备的威胁. 从人的因素 考虑,影响网络安全的因素包括: (1)人为的无意失误. (2)人为的恶意攻击.一种是主动攻击, ...

  • 【安全圈】攻击者针对新西兰中央银行的Accellion FTA进行攻击

    上个周末,新西兰中央银行宣布其基础设施遭到了网络攻击.根据该政府组织的说法,一个身份不明的黑客入侵了其数据系统之一,攻击者可能已访问了商业和个人的私密信息. 根据州长阿德里安·奥尔(Adrian Or ...

  • 网络安全之供应链安全(一)

    介绍今天我们一起探讨提高组织对供应链安全的认识,并通过继续采用良好实践帮助提高这方面的基本能力水平.大多数组织依靠供应商来交付产品.系统和服务.自己可能有许多供应商,这就是我们开展业务的方式. 供应链 ...

  • 网络安全之供应链安全(二)

    上次我们在<网络安全之供应链安全(一)>谈到了了解风险,今天我们探讨第二部分"建立控制". 二.建立控制 本文的原则将帮助组织获得并保持对供应链的控制.一旦组织能够更好 ...

  • 网络安全之供应链安全(三)

    三.检查安排 企业需要对其建立对供应链的控制的方法充满信心. 10. 将保证活动纳入供应链管理 要求那些对供应链安全至关重要的供应商通过合同提供安全绩效的向上报告,并遵守任何风险管理政策和流程. 将& ...

  • 网络安全之供应链安全:水坑攻击

    "水坑攻击",黑客攻击方式之一,顾名思义,是在受害者必经之路设置了一个"水坑(陷阱)".最常见的做法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网 ...

  • 网络安全之供应链安全:评估供应链安全

    下表提供了一系列用于衡量供应链安全性的场景.这个想法是给我们一些具体的参考例子,说明供应链安全的好坏,帮助我们了解自己的供应链安全情况. 好的 坏的 了解供应商可能给组织.更广泛的供应链以及提供的产品 ...

  • 网络安全之供应链安全:第三方数据存储

    通过第三方数据存储了解供应链攻击,其中报告称属于大型数据聚合器的网络遭到破坏.许多现代企业将他们的数据外包给第三方公司,这些公司汇总.存储.处理和代理信息,有时代表与彼此直接竞争的客户.此类敏感数据不 ...

  • 网络安全之供应链安全:评估供应链管理实践

    今天,我们就供应链安全,继续探讨.如果已经遵循良好的采购和合同实践,以下提供可以考虑的其他因素,以便我们更好的评估供应链管理实践的优劣好坏. 好的 坏的 与供应商建立伙伴关系.如果组织供应商采用组织供 ...

  • 网络安全之供应链安全:网站建设者

    了解一个供应链攻击示例,其中合法网站被创意和数字机构使用的网站建设者攻破. 网络犯罪分子还将供应链作为利用恶意软件接触最广泛受众的一种手段.识别和破坏一个具有战略意义的要素是有效利用资源并可能导致大量 ...

  • B2B供应链系统平台和处理与供应商的关系?

    供应链系统服务平台之间的竞争,无法避开的一个供应链管理问题:供应商与供应链平台客户的关系如何管理?如何处理才能提升B2B供应商管理系统平台的竞争力?两者关系产生的价值直接影响B2B供应链服务平台在行业 ...